CVE-2020-25703
CVE-2020-25703
Em resumo
O Moodle estava expondo endereços de email dos usuários ao fazer download da tabela de participantes, mesmo quando esses emails deveriam estar ocultos. Isso vazava informações de contato privadas que administradores queriam manter confidenciais.
Detalhe técnico
Vulnerabilidade CWE-201 de exposição de informações na função de exportação da tabela de participantes do Moodle. A aplicação não respeitava as configurações de privacidade do usuário e incluía sistematicamente endereços de email nos downloads independentemente da configuração de visibilidade de email. Afeta versões 3.7–3.9.2; requer acesso autenticado às exportações de participantes do curso.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The participants table download in Moodle always included user emails, but should have only done so when users' emails are not hidden. Versions affected: 3.9 to 3.9.2, 3.8 to 3.8.5 and 3.7 to 3.7.8. This is fixed in moodle 3.9.3, 3.8.6, 3.7.9, and 3.10.
Produtos afetados
n/a · moodleQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://bugzilla.redhat.com/show_bug.cgi?id=1895439https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4NNFCHPPHRJNJROIX6SYMHOC6HMKP3GU/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/B55KXBVAT45MDASJ3EK6VIGQOYGJ4NH6/https://moodle.org/mod/forum/discuss.php?d=413941